#CVE: 7-zip 任意代码执行漏洞，请更新至 24.07 或更新版本。

7zip 的 zstandard 解压组件存在漏洞，或导致任意代码执行。

CVE: CVE-2024-11477

zerodayinitiative.com/~

linksrc: https://www.tgoop.com/bupt_moe/2305

#7zip #zstd

国行 Nintendo Switch 宣布于 2026/3/31 - 2026/5/15 停止 e 商店及其它网络服务。

作为「回馈计划」，国行设备用户可透过绑定的微信帐号免费领取4款下载版游戏/工具软件。

nintendoswitch.com.cn/~

#NintendoSwitch #China

Browser Choice Alliance 成立，谴责 Windows/Edge 为 Edge 提供的竞争优势。

网站所谴责的行为包括：
* Edge 将 Opera 浏览器安装包标记为可疑，要求用户多次确认后才能启动。
* Windows 使用户不能方便地设置其它浏览器在其所支持的所有文件类型中为默认软件。
* Bing 在用户搜索竞品浏览器时为其推荐 Edge。

加入此联盟的浏览厂商包括 Chrome、Opera、Vivaldi 等。

https://browserchoicealliance.org/

#BrowserChoiceAlliance #Edge #Chrome

Google 日本发布「加油！Chrome」动画两条。

- 动画中的 Chrome 由上坂堇配音。
- 两条动画的监督分别为大塚隆史和稲葉秀樹；前者曾在东映任职，参与过《光之美少女》系列的制作。
- ED 音乐由匹诺曹P制作。

动画主要表现了 Chrome 的安全性及功能等。

1. https://youtube.com/watch?v=3Ghk_9FsrBk
2. https://youtube.com/watch?v=DlRm3Q58A4w

#Chrome #Anime

注：MCE 汉化组为「加油！Chrome」系列视频制作了中文字幕，供订户参考：

- https://www.bilibili.com/video/av113566736717800
- https://www.bilibili.com/video/av113569857280204

thread: /4634

#today

只由微软根证书库信任的巴西国家 PKI ICP Brasil 被发现签发了 google.com 的证书。

- google.com 的 CAA 记录要求只有 Google Trust Services 可以为其签发证书。ICP Brasil 签发的证书不符合 CA/B 政策。
- 这引发了对 ICP Brasil 及微软的信任讨论 [seealso]。

https://bugzilla.mozilla.org/show_bug.cgi?id=1934361
seealso: HackerNews:42284202

#PKI #Microsoft

绊爱网站发布倒计时；或与重新开始活动有关。

倒计时指向 2025/2/26 21:00 (UTC+8)。

- https://cognition.kizunaai.com/
- https://www.youtube.com/watch?v=Bc7g-SNyuX8
- https://www.youtube.com/watch?v=EEmgm61cQjE

thread: /4556

#KIzunaAi

Arc 浏览器开发商宣布新浏览器 Dia，以 AI 特性作为卖点。

https://www.diabrowser.com/

#TheBrowserCompany

LE 公布 OCSP 废弃时间线。2025/5/7 起签发的证书将不含 OCSP 条目。

OCSP 服务将于 2025/8/6 关停。

https://letsencrypt.org/2024/12/05/ending-ocsp/

thread: /4572

#LetsEncrypt #OCSP #PKI

itch.io 被域名注册商 iwantmyname 关停，原因或为后者未能及时处理 itch.io 对于举报的回应。

- itch.io 是一个面向独立游戏开发者的服务。
根据 itch.io 维护者的说法：
- BrandShield 就 itch.io 上关于 Funko 系列游戏的疑似侵权行为，向域名服务商及 ISP 投诉 itch.io 涉及欺诈；通常此类行为应该根据 DMCA 法案发送停止—终止 (cease-and-desist) 侵权要求。
- 即使 BrandShield 提出举报的理由不相关， itch.io 还是移除了相应内容并回复了 ISP Linode 及域名服务商 iwantmyname。前者根据回应关闭了举报工单，后者则未有响应。
- 而后， itch.io 域名被 serverHold，表明 iwantmyname 封停了域名。

bsky.app/~

seealso: HackerNews:42363727

#ItchIO #Funko #DMCA #BrandShield

Ultralytics 的部分版本含有 crypto miner；受影响版本现已被撤回。

- Ultralytics 是一个（自称） state-of-the-art 的包含视觉识别等功能的模型。
- 受影响版本为 8.3.41/42/45/46。
- 骇客似乎透过构造分支名称得以在由 pull_request_target 触发的 CI 中执行任意代码，并获得了 PyPI token 等敏感信息。 [1]

https://github.com/ultralytics/ultralytics/issues/18027

1. blog.yossarian.net/~

#Ultralytics #CI #Security

GitHub Copilot 免费开放给全部用户；每月 2k 条代码补全及 50 条消息。

github.blog/~

#GitHub #Copilot

Let's Encrypt 在公开信中提到将推出有效期短至 6 天的短期证书。

https://letsencrypt.org/2024/12/11/eoy-letter-2024/

linksrc: blog.gslin.org/~

#LetsEncrypt #TLS

万代宣布上海闪耀色彩 MR 演唱会活动。1/11-1/12。EUPD （逸兴欢悦）举办。

- 作为 “Project IM@S 3.0 Vision” 的一部分，《偶像大师》企划宣布将强化对 MR (Mixed Reality, 混合现实) 的利用。观众猜测本场演唱会活动或无声优实际出演。
- EUPD 在举办七月 BanG Dream! 企划 Roselia「Rosenchor」上海追加公演时的表现受到争议。观众怀疑其故意只在官方购票渠道投放少量门票，以抬高门票售价。

https://idolmaster-official.jp/news/01_13926

#IDOLMASTER #EUPD

Puppet 宣布将要求社区开发者接受 EULA 才能获取开发用版本；或招致社区 fork 其项目。

- Puppet 是由 Perforce（亦为 Helix 版本控制系统开发商）开发的 IaC (Infrastructure as Code, 基础架构即代码) 管理工具。
- Perforce 称 Puppet 将维持 Apache 2.0 协议授权，但新的 EULA 可能会为其修改授权协议留下空间。

https://www.puppet.com/blog/open-source-puppet-updates-2025

linksrc: blog.gslin.org/~

#Puppet #Opensource

陆港澳用户已无法直接注册 GitLab.com 帐号，会被跳转到极狐； GitLab.com 亦要求已有陆港澳用户在 60 日内迁移，之后将删除帐号。

- GitLab 称，极狐拥有 GitLab 在陆港澳的独家运营授权。
- 极狐在国内的运营受到争议：有员工称极狐正起诉使用 GitLab CE 的公司，称其违反著作权法 [3]。

1. https://gitlab.com/users/identity_verification/restricted
2. https://about.gitlab.com/pricing/faq-jihu/
3. https://zhuanlan.zhihu.com/p/11665748924

linksrc: https://www.tgoop.com/billchenla/19903

#GitLab #JH

小鸡词典宣布解散。

https://www.bilibili.com/video/av113685855011391/

thread: /4013

#Jikipedia

Firefox 离线翻译插件在 Nightly 上已经开始支持中译英。

connect.mozilla.org/~

#Firefox #Translation

欧盟要求 Apple 将 AirDrop、AirPlay 等功能开放给第三方平台；Apple 在用户隐私方面对此要求表示担忧。

- 欧盟文件中 [1] 的互操作性要求覆盖 11 个 Apple 组件，包括：
- iOS 通知（例如在第三方设备上可以像在 Apple 硬件外设上一样接收和回应通知消息）
- 背景执行（例如允许第三方 App 和第一方 App 一样可以在后台和第三方设备交互）
- AirDrop（例如允许第三方设备发现附近 iOS 设备及接收/发送 AirDrop 资料）
- AirPlay（例如允许第三方设备接收/发送 AirPlay 影音流）
- 欧盟要求 Apple 在 2025 年末前实现以上互操作性要求。
- Apple 回应 [2] 并对此表示担忧。回应中提到：
- Apple 已经开放超过 25 万个 API。
- Meta 请求过 Apple 开放大量敏感数据的访问权限（包括消息及 Wi-Fi 连接信息等）；Apple 选择不开放这些数据的访问权限是为了保护用户不受数据公司侵害。
- 第三方可能不会像 Apple 一样承诺使用户能够掌控自己的设备。
- Apple 极高的隐私及安全标准使其独树一帜，并且不会放弃自己在这方面的承诺。

https://9to5mac.com/2024/12/18/eu-apple-ios/

1. digital-markets-act.ec.europa.eu/~
2. developer.apple.com/~

#EU #Apple

有用户在 Hacker News 称新版 Google Chrome 已经停用 Manifest V2。

如果希望暂时还原 Manifest V2，可以通过添加企业政策或修改注册表的方式实现。

blog.gslin.org/~

#ManifestV2 #Chrome